登录
CSNA会员注册
找回密码
搜索
搜索
本版
用户
CSNA网络分析论坛
»
首页
›
流量分析
›
网络分析
›
牛b的rpc分片,大牛来围观。。。
返回列表
发帖
查看:
4962
|
回复:
8
牛b的rpc分片,大牛来围观。。。
[复制链接]
madexin1988
madexin1988
当前离线
积分
0
发表于 2013-3-5 14:32:28
|
显示全部楼层
|
阅读模式
rpc请求,黑客把请求数据进行分片,以躲避IDS等网络安全产品的检测。wireshark抓包如下:
第21个包的rpc数据:
第25个包的rpc数据:
。。。。。
现在有个疑惑:
第25个包的rpc负载怎么判断是1-25,第26个rpc负载是2-26的呢。。。
求解!
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
CSNA会员注册
×
回复
使用道具
举报
madexin1988
madexin1988
当前离线
积分
0
楼主
|
发表于 2013-3-5 14:39:00
|
显示全部楼层
不能判断下一个分片的偏移,后续没办法进行重组呀!!!
回复
使用道具
举报
xxx314
xxx314
当前离线
积分
9
发表于 2013-3-7 14:25:17
|
显示全部楼层
本帖子中包含更多资源
您需要
登录
才可以下载或查看,没有账号?
CSNA会员注册
×
回复
使用道具
举报
madexin1988
madexin1988
当前离线
积分
0
楼主
|
发表于 2013-3-7 17:50:41
|
显示全部楼层
这个的确触发漏洞,但是总不能让IDS遇到操作码是31的就报警吧?
所以,现在的思想是把这些分片进行重组!
回复
使用道具
举报
madexin1988
madexin1988
当前离线
积分
0
楼主
|
发表于 2013-3-7 17:52:22
|
显示全部楼层
就是把rpc分片的请求数据进行缓存重组呗。。。
回复
使用道具
举报
xxx314
xxx314
当前离线
积分
9
发表于 2013-3-8 13:27:29
|
显示全部楼层
我感觉估计还是是普通的分片了之后的一个数据组装的。。。
回复
使用道具
举报
xxx314
xxx314
当前离线
积分
9
发表于 2013-3-8 13:27:31
|
显示全部楼层
我感觉估计还是是普通的分片了之后的一个数据组装的。。。
回复
使用道具
举报
madexin1988
madexin1988
当前离线
积分
0
楼主
|
发表于 2013-3-8 14:57:31
|
显示全部楼层
第25分片负载(1-25)起始偏移"1"何解呀??
回复
使用道具
举报
xxx314
xxx314
当前离线
积分
9
发表于 2013-3-8 16:03:22
|
显示全部楼层
这个应该跟它这个规避的方式有关吧。。。。
组装我感觉还是是在tcp/ip协议栈这里搞定的。。。。。
具体应该看它使用了哪种算法。。。。。
回复
使用道具
举报
返回列表
发帖
高级模式
B
Color
Image
Link
Quote
Code
Smilies
您需要登录后才可以回帖
登录
|
CSNA会员注册
本版积分规则
发表回复
回帖并转播
回帖后跳转到最后一页
快速回复
返回顶部
返回列表
发表于 2013-3-5 14:32:28
发表于 2013-3-7 14:25:17